杨先德/文 刚刚过去的双11，笔者虽然分文未花，但也难以置身事外，这几天手机推销短信源源不断，很多商家我从来没在他们的平台购物，更不曾留下手机号码。个人信息的收集、泄露、交易和不当使用已经司空见惯，大部分人对此可能还只是停留在“烦不胜烦”的感性认知层面，但是事实上，信息泄露和滥用严重损害了群众的人身和财产利益，已经是公害。

法律并非无所作为。我国刑法第253之一条规定了“侵犯公民个人信息罪”，违反国家规定，向他人出售或者提供公民个人信息，窃取或者以其他非法方法获得公民个人信息的行为，最高可能被判处7年有期徒刑。笔者近期利用裁文书数据库，对适用该罪处理的涉及APP侵犯公民个人信息行为进行了类案研究。在收集到的数十起案例中，利用APP非法收集、买卖公民个人信息、非法窃取APP用户信息的现象触目惊心。很多APP本身就是侵犯公民个人信息的工具，用来收集个人信息后转售谋利或直接用于实施电信诈骗和套路贷等犯罪；有些知名公司的APP安全技术和管理措施严重不足，黑客攻击、信息失窃时有发生。在互联网上非法交易公民个人信息的“黑市”“暗网”大量存在，公民隐私、人格尊严、财产安全受到实实在在的损害。

与国外民事、行政措施保护优先不同，我国刑法是较早对公民个人信息保护作出有效反应的部门法，主要表现在较早确立了窃取、收买、非法提供信息卡信息罪等新罪名、拓展了侵犯公民个人信息类犯罪处罚范围等。应该说，近几年公安司法机关加强了执法，查处了大量的涉及侵犯公民个人信息犯罪的案件。尤其是最高院、最高检2017年发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》后，执法司法标准变得较为明确，更多案件被暴露出来。

刑法保护的优势在于其严厉性、威慑性，不足在于：一方面，按照目前的入刑标准（比如普通公民个人信息5000条、违法所得5000元），严格执法将有大量的人被追究刑事责任，而且这种犯罪往往是单位犯罪、集团犯罪，涉及人数众多，广泛动用刑罚，副作用多；另一方面，现实中的公民个人信息交易动辄涉及成百上千万甚至上亿条，最高刑7年似乎又太轻，实践中很多被告人被判处缓免刑，惩罚不足。

刑事打击面临的这种两难困境，需要民事、行政等部门法的补位和支持。好在刑法之后，《消费者权益保护法》《网络安全法》《民法典》等相继对公民个人信息保护作出专门规定，而最为重要的《个人信息保护法（草案）》也在今年10月份第一次提交立法机关审议。

在笔者看来，目前的草案还需要重点对“法律责任”部分进行完善和加强。

道理很简单，“无救济则无权利”。草案对个人信息处理规则、个人权利、信息处理者义务做了较为详尽的规定，但是检验信息保护规则有效性关键在于违法行为是否能够得到及时查处，权利受损者能否得到及时、充分的法律救济。目前条例的“法律责任”部分仅有6条，而且规定相当粗略。至少还可以从以下三个方面改进：

一是严管要与重罚对应。要进一步明确罚款的标准，比如对违法行为“情节严重”的，在“五千万元以下和上一年度营业额百分之五以下罚款”之间选择的具体标准要再明确，是否可以参考欧盟《通用数据保护条例》，对不同违规行为设置不同标准，并在固定罚款和营业额罚款标准之间建立“以高者为准”的规则。

二是司法维权和监管要强化。单个公民极少会为个人信息被侵犯而动用法律武器，因为力量不足、成本太高，因此一方面要鼓励公民通过集体诉讼等方式走司法维权之路，另一方面要倚重独立监管者的有效作为。考虑到我国行政部门虽然是监管者，但是通常又是信息产业、经济发展政策的制定者、主导者，监管上在某些层面会有利益冲突，因此可以加强更加中立的审判、检察机关的监管权力，包括通过集团诉讼、民事和行政的公益诉讼的方式加大监管和维权力度。

三是程序要公正。要保障被监管者的权利，包括提起行政诉讼、平等参与诉讼的权利等，而且对诸如“停业整顿”“吊销营业执照”等对企业正常经营影响重大的行政行为要做到规则明晰、程序公正。总之，《个人信息保护法》草案的完善还需要做很多工作。

（作者供职于北京市人民检察院）